Establecimiento de procesos de adhesión a directivasEstablish policy adherence processes

Después de establecer las instrucciones de la directiva de la nube y redactar una guía de diseño, deberá crear una estrategia para garantizar que su implementación de la nube cumpla con los requisitos de la directiva.After establishing your cloud policy statements and drafting a design guide, you'll need to create a strategy for ensuring your cloud deployment stays in compliance with your policy requirements. Esta estrategia debe abarcar los procesos de comunicación y revisión en curso del equipo de gobernanza de la nube, establecer criterios para cuando las infracciones de las directivas requieran medidas y definir los requisitos para los sistemas automatizados de supervisión y cumplimiento que van a detectar las infracciones y desencadenar las medidas correctoras.This strategy will need to encompass your cloud governance team's ongoing review and communication processes, establish criteria for when policy violations require action, and defining the requirements for automated monitoring and compliance systems that will detect violations and trigger remediation actions.

Vea las secciones de directivas corporativas de las guías prácticas de gobernanza para obtener ejemplos de cómo el proceso de adhesión a las directivas encaja en un plan de gobernanza de la nube.See the corporate policy sections of the actionable governance guides for examples of how policy adherence process fit into a cloud governance plan.

Clasificación de los procesos de adhesión a las directivasPrioritize policy adherence processes

¿Cuánta inversión en el desarrollo de procesos se requiere para apoyar los objetivos de la directiva?How much investment in developing processes is required to support your policy goals? Dependiendo del tamaño y la madurez de la implementación de la nube, el esfuerzo requerido para establecer procesos que admitan el cumplimiento, y los costos asociados con este esfuerzo, pueden variar ampliamente.Depending on the size and maturity of your cloud deployment, the effort required to establish processes that support compliance, and the costs associated with this effort, can vary widely.

Para implementaciones pequeñas que consisten en recursos de desarrollo y de prueba, los requisitos de las directivas pueden ser simples y requerir pocos recursos dedicados para abordarlos.For small deployments consisting of development and test resources, policy requirements may be simple and require few dedicated resources to address. Por otro lado, una implementación en la nube madura y crítica con necesidades de seguridad y rendimiento de alta prioridad puede requerir un equipo de personal, amplios procesos internos y herramientas de supervisión personalizadas para respaldar los objetivos de las directivas.On the other hand, a mature mission-critical cloud deployment with high-priority security and performance needs may require a team of staff, extensive internal processes, and custom monitoring tooling to support your policy goals.

Como primer paso para definir la estrategia de adherencia a la directiva, evalúe cómo los procesos que se discuten a continuación pueden respaldar los requisitos de la directiva.As a first step in defining your policy adherence strategy, evaluate how the processes discussed below can support your policy requirements. Determine cuánto esfuerzo vale la pena invertir en estos procesos y después utilice esta información para establecer un presupuesto realista y planes de personal para satisfacer estas necesidades.Determine how much effort is worth investing in these processes, and then use this information to establish realistic budget and staffing plans to meet these needs.

Establecimiento de procesos del equipo de gobernanza de la nubeEstablish cloud governance team processes

Antes de definir los desencadenadores para la corrección del cumplimiento de las directivas, debe establecer los procesos generales que va a usar el equipo y cómo se va a compartir y escalar la información entre el personal de TI y el equipo de gobernanza de la nube.Before defining triggers for policy compliance remediation, you need establish the overall processes that your team will use and how information will be shared and escalated between IT staff and the cloud governance team.

Asignación de miembros al equipo de gobernanza de la nubeAssign cloud governance team members

El equipo de gobernanza de la nube va a proporcionar orientación continua sobre el cumplimiento de las directivas y se va a ocupar de los problemas relacionados con estas que surjan durante la implementación y el funcionamiento de los recursos de la nube.Your cloud governance team will provide ongoing guidance on policy compliance and handle policy-related issues that emerge when deploying and operating your cloud assets. Al crear este equipo, invite a miembros del personal de la organización con experiencia en áreas incluidas en las declaraciones de las directivas definidas y en los riesgos identificados.When building this team, invite staff members that have expertise in areas covered by your defined policy statements and identified risks.

Para las implementaciones de pruebas iniciales, esto puede limitarse a unos pocos administradores de sistemas responsables de establecer las bases de la gobernanza.For initial test deployments, this can be limited to a few system administrators responsible for establishing the basics of governance. A medida que maduren los procesos de gobernanza, revise regularmente los miembros del equipo de gobernanza de la nube para asegurarse de que puede abordar adecuadamente los posibles nuevos riesgos y los requisitos de las directivas.As your governance processes mature, review the cloud guidance team's membership regularly to ensure that you can properly address new potential risks and policy requirements. Identifique a los miembros del personal de TI y empresarial con experiencia de relevancia o interés en áreas específicas de gobernanza e inclúyalos en los equipos de forma permanente o temporal, según sea necesario.Identify members of your IT and business staff with relevant experience or interest in specific areas of governance and include them in your teams on a permanent or temporary basis as needed.

Revisiones e iteración de directivasReviews and policy iteration

A medida que se implementan recursos y cargas de trabajo adicionales, el equipo de gobernanza de la nube debe asegurarse de que las nuevas cargas de trabajo o los recursos cumplan los requisitos de las directivas.As additional resources and workloads are deployed, the cloud governance team will need to ensure that new workloads or assets comply with policy requirements. Evalúe los nuevos requisitos de los equipos de desarrollo de cargas de trabajo para asegurarse de que sus implementaciones planeadas se alinean con las guías de diseño y actualice las directivas para admitir estos requisitos cuando sea necesario.Evaluate new requirements from workload development teams to ensure their planned deployments will align with your design guides, and update your policies to support these requirements when appropriate.

Planee la evaluación de nuevos riesgos potenciales y la actualización de las declaraciones de las directivas y las guías de diseño cuando sea necesario.Plan to evaluate new potential risks and update policy statements and design guides as needed. Trabaje con el personal de TI y los equipos de cargas de trabajo para evaluar las nuevas características y los servicios de Azure de manera continua.Work with IT staff and workload teams to evaluate new Azure features and services on an ongoing basis. Además, programe ciclos regulares de revisión de las cinco materias de gobernanza para asegurar que las directivas estén actualizadas y se cumplan.Also schedule regular review cycles each of the five governance disciplines to ensure policy is current and in compliance.

EducaciónEducation

El cumplimiento de las directivas requiere que el personal de TI y los desarrolladores comprendan los requisitos de las directivas que afectan a sus áreas de responsabilidad.Policy compliance requires IT staff and developers to understand the policy requirements that affect their areas of responsibility. Planee dedicar recursos a documentar las decisiones y los requisitos, y eduque a todos los equipos pertinentes sobre las guías de diseño que respaldan los requisitos de la directiva.Plan to devote resources to document decisions and requirements, and educate all relevant teams on the design guides that support your policy requirements.

A medida que cambien las directivas, actualice regularmente la documentación y los materiales de aprendizaje, y asegúrese de que los esfuerzos educativos comuniquen los requisitos actualizados y la guía al personal de TI pertinente.As policy changes, regularly update documentation and training materials, and ensure education efforts communicate updated requirements and guidance to relevant IT staff.

En varias fases del recorrido en la nube, es posible que le resulte más conveniente consultar con asociados y programas de aprendizaje profesional para mejorar la formación de su equipo, técnica y procedimentalmente.At various stages of your cloud journey, you may find it best to consult with partners and professional training programs to enhance the education of your team, both technically, and procedurally. Además, muchos consideran los certificados formales como una valiosa adición a la cartera de formación que se debe tener en cuenta.Additionally, many find that formal certifications are a valuable addition to your education portfolio and should be considered.

Establecimiento de las rutas de escaladoEstablish escalation paths

Si un recurso no cumple con las normas, ¿a quién se le notifica?If a resource goes out of compliance, who gets notified? Si el personal de TI detecta un problema de cumplimiento de directivas, ¿con quién se ponen en contacto?If IT staff detect a policy compliance issue, who do they contact? Asegúrese de que el proceso de escalado al equipo de gobernanza de la nube está claramente definido.Make sure the escalation process to the cloud governance team is clearly defined. Asegúrese de que estos canales de comunicación se mantengan actualizados para reflejar los cambios del personal y de la organización.Ensure these communication channels are kept updated to reflect staff and organization changes.

Desencadenadores y acciones de infraccionesViolation triggers and actions

Después de definir el equipo de gobernanza de la nube y sus procesos, debe definir explícitamente lo que se consideran infracciones de cumplimiento que desencadenan acciones, y cuáles deben ser esas acciones.After defining your cloud governance team and its processes, you need to explicitly define what qualifies as compliance violations that will triggers actions, and what those actions should be.

Definición de desencadenadoresDefine triggers

Para cada una de sus declaraciones de directiva, revise los requisitos para determinar qué constituye una infracción de la directiva.For each of your policy statements, review requirements to determine what constitutes a policy violation. Genere los desencadenadores con la información que ya ha establecido como parte del proceso de definición de directivas.Generate your triggers using the information you've already established as part of the policy definition process.

  • Tolerancia a riesgos: cree desencadenadores de infracción basados en las métricas y los indicadores de riesgo establecidos como parte del análisis de tolerancia al riesgo.Risk tolerance: Create violation triggers based on the metrics and risk indicators you established as part of your risk tolerance analysis.
  • Requisitos de directivas definidos: las declaraciones de directivas pueden proporcionar requisitos de contrato de nivel de servicio (SLA), continuidad empresarial y recuperación ante desastres (BRCD) o rendimiento que deben usarse como base para los desencadenadores de cumplimiento.Defined policy requirements: Policy statements may provide service-level agreement (SLA), business continuity and disaster recovery (BCDR), or performance requirements that should be used as the basis for compliance triggers.

Definición de accionesDefine actions

Cada desencadenador de infracción debe tener una acción correspondiente.Each violation trigger should have a corresponding action. Las acciones desencadenadas siempre deben informar a un miembro del personal de TI o del equipo de gobernanza de la nube cuando se produce una infracción.Triggered actions should always notify an appropriate IT staff or cloud governance team member when a violation occurs. Esta notificación puede llevar a una revisión manual del problema de cumplimiento o iniciar un proceso de corrección preestablecido, en función del tipo y la gravedad de la infracción detectada.This notification can lead to a manual review of the compliance issue or kickoff a predefined remediation process depending on the type and severity of the detected violation.

Algunos ejemplos de desencadenadores y acciones de infracciones:Some examples of violation triggers and actions:

Materia de gobernanzaGovernance discipline Desencadenador de ejemploSample trigger Acción de ejemploSample action
Cost ManagementCost Management El gasto mensual en la nube es más de un 20 % mayor de lo esperado.Monthly cloud spending is more than 20% higher than expected. Notifique al responsable de la unidad de facturación, quién comenzará una revisión de la utilización de los recursos.Notify the billing unit leader who will begin a review of resource usage.
Línea de base de seguridadSecurity Baseline Detecte actividad sospechosa de inicio de sesión de usuario.Detect suspicious user activity. Notifique al equipo de seguridad de TI y deshabilite la cuenta de usuario sospechosa.Notify the IT security team and disable the suspect user account.
Coherencia de recursosResource Consistency La utilización de la CPU para la carga de trabajo es superior al 90 %.CPU utilization for a workload is greater than 90%. Notifique al equipo de operaciones de TI y amplíe los recursos adicionales para administrar la carga.Notify the IT operations team and scale out additional resources to handle the load.

Automatización de la supervisión y el cumplimientoAutomation of monitoring and compliance

Después de haber definido los desencadenadores y las acciones de las infracciones de cumplimiento, puede empezar a planear la mejor manera de utilizar las herramientas de registro y generación de informes y otras funciones de la plataforma de nube para ayudar a automatizar la estrategia de supervisión y cumplimiento de directivas.After you've defined your compliance violation triggers and actions, you can start planning how best to use the logging and reporting tools and other features of the cloud platform to help automate your monitoring and policy compliance strategy.

Consulte el tema Registro e informes de la guía de decisiones de CAF para obtener una guía sobre cómo elegir el mejor patrón de supervisión para la implementación.For help choosing the best monitoring pattern for your deployment, see the logging and reporting decision guide.

Pasos siguientesNext steps

Obtenga más información sobre el cumplimiento normativo en la nube.Learn more about regulatory compliance in the cloud.